Какими веб шеллами пользуются на практике? Очень важно остаться незамеченным и не спалиться в первое же подключение. Так же хотелось бы иметь нормальный доступ к фс + возможность выполнения команд (как ос, так и языков програмирования). Видел на гитхабе кучу образцов, но они, в основном, переделанные wso, которые, наверное уж, точно палятся.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
1) проверка пароля по хэшу
2) eval()
3) upload file
Большинство шелов имеют беспеолезный пользовательский интерфейс. Более правильный подход оставить простенький шелл с функциями описанными выше и использовать клиентскую программу для доступа к шелу, соответственно палиться на сервере особенно нечему, гуи также отсутствует.
2) eval()
3) upload file
Большинство шелов имеют беспеолезный пользовательский интерфейс. Более правильный подход оставить простенький шелл с функциями описанными выше и использовать клиентскую программу для доступа к шелу, соответственно палиться на сервере особенно нечему, гуи также отсутствует.
Последнее редактирование:
- Автор темы
- Добавить закладку
- #3
Это очень хорошее замечание. Хотелось бы посмотреть на готовые решения.
Где HackZone ?
Попробуй что-нибудь свое реализовать, это не так сложно...
Полностью солидарен, основная проблема в том, что большинство вебшелов детектятся хостинговыми компаниями, с помощью различных скриптов, думаю, если не писать самому, то можно где-то купить за разумную цену)
Целый пак, под любые языки. asp aspx jsp jspx py php etc (поделены по папкам)
юзать не рекомендую, ну или проверять код для начала на наличие бэкдоров\закладок. Есть и чистые (ориджинал)
Однако для изучения под свою реализацию - вполне годно.
---------------------------------------------
Верно выше написали, лучше однастрок куда то спрятать
типа:
А можно тупо в существующую картинку jpg (баннер например), отредактировал, перезалил, тач поменял:
ессно куда же без пряток с админом
при этом забэкдориться. Отличный вариант предложил b3:
А так же годная тема (со второго поста и далее)
Ссылки поскидывал, т.к. на пальцах обьяснять - это очень обьемная тема, которая вышла бы на огромную статью, собери я весь материал и свои наработки воедино. Но к сожалению у меня нет на это времени. (((
А т.к. пошла тенденция на массовые установки снифферов по шопам, то закреп и бэкдор это овердохуя актуальное направление (дольше проживет шоп = больше мата = больше $)
и вот именно поэтому у меня нет времени
GitHub - tennc/webshell: This is a webshell open source project
This is a webshell open source project. Contribute to tennc/webshell development by creating an account on GitHub.
github.com
юзать не рекомендую, ну или проверять код для начала на наличие бэкдоров\закладок. Есть и чистые (ориджинал)
Однако для изучения под свою реализацию - вполне годно.
---------------------------------------------
Верно выше написали, лучше однастрок куда то спрятать
типа:
и т.д., потом обращаться к нему по кукам, хэшу, юзер-агенту и т.д., можно в favicon.ico
А можно тупо в существующую картинку jpg (баннер например), отредактировал, перезалил, тач поменял:
Обход безопасной загрузки изображений - RDot: White Hat Security Community
Обход безопасной загрузки изображений Web-среда/Web-applications
rdot.org
ессно куда же без пряток с админом
Играем в прятки c админом - RDot: White Hat Security Community
Играем в прятки c админом Web-среда/Web-applications
rdot.org
при этом забэкдориться. Отличный вариант предложил b3:
ping backdoor - RDot: White Hat Security Community
ping backdoor Целевые системы/Target systems
rdot.org
А так же годная тема (со второго поста и далее)
Ссылки поскидывал, т.к. на пальцах обьяснять - это очень обьемная тема, которая вышла бы на огромную статью, собери я весь материал и свои наработки воедино. Но к сожалению у меня нет на это времени. (((
А т.к. пошла тенденция на массовые установки снифферов по шопам, то закреп и бэкдор это овердохуя актуальное направление (дольше проживет шоп = больше мата = больше $)
и вот именно поэтому у меня нет времени
Привет, как можно связаться с вами для личного разговора?Целый пак, под любые языки. asp aspx jsp jspx py php etc (поделены по папкам)
GitHub - tennc/webshell: This is a webshell open source project
This is a webshell open source project. Contribute to tennc/webshell development by creating an account on GitHub.github.com
юзать не рекомендую, ну или проверять код для начала на наличие бэкдоров\закладок. Есть и чистые (ориджинал)
Однако для изучения под свою реализацию - вполне годно.
---------------------------------------------
Верно выше написали, лучше однастрок куда то спрятать
типа:
и т.д., потом обращаться к нему по кукам, хэшу, юзер-агенту и т.д., можно в favicon.ico
А можно тупо в существующую картинку jpg (баннер например), отредактировал, перезалил, тач поменял:
Обход безопасной загрузки изображений - RDot: White Hat Security Community
Обход безопасной загрузки изображений Web-среда/Web-applicationsrdot.org
ессно куда же без пряток с админом
Играем в прятки c админом - RDot: White Hat Security Community
Играем в прятки c админом Web-среда/Web-applicationsrdot.org
при этом забэкдориться. Отличный вариант предложил b3:
ping backdoor - RDot: White Hat Security Community
ping backdoor Целевые системы/Target systemsrdot.org
А так же годная тема (со второго поста и далее)
Ссылки поскидывал, т.к. на пальцах обьяснять - это очень обьемная тема, которая вышла бы на огромную статью, собери я весь материал и свои наработки воедино. Но к сожалению у меня нет на это времени. (((
А т.к. пошла тенденция на массовые установки снифферов по шопам, то закреп и бэкдор это овердохуя актуальное направление (дольше проживет шоп = больше мата = больше $)
и вот именно поэтому у меня нет времени